如何建立适应改革需要的，多部门网络和数据安全体系

2022-09-14内蒙古自治区大数据中心于丽丽

中国信息化 2022年8期

文｜内蒙古自治区大数据中心于丽丽

2020年10月20日，内蒙古自治区大数据中心组建成立。经过一年多的全力沟通和密切配合，部门间的工作沟通协调和工作机制基本建立。随着“东数西算”、“数字政府”、“数字经济”、“数字产业化和产业数字化”工程的快速推进，《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规的出台，结合自治区信息服务机构改革对网络安全工作提出更高的要求。基于此，本文将从自治区信息服务机构改革面临的问题出发，提出安全防护措施提出个人的一些意见，仅供参考。

按照自治区党委关于政府系统信息服务机构改革的部署要求，2020年10月20日，内蒙古自治区大数据中心组建成立。经过一年多的全力沟通和密切配合，职能调整和人员转隶全部到位，部门间的工作机制基本建立，但还面临着一些深层次矛盾和亟待解决的问题。大数据时代下，面对多部门的网络安全职责不清、界限不明、不同架构、不同数据结构的系统等错综复杂的问题，信息安全问题屡见不鲜，因此，如何理清与服务厅局的安全边界，有效应对计算机网络信息安全问题并且加强相应的防护措施，已经成为各行各业发展过程中重点研究的课题之一。

一、中心网络安全和数据安全体系基本现状与问题

机构改革前，自治区各厅局负责厅局信息化建设的主要任务，是安全责任的主体。改革后，自治区大数据中心作为原厅局信息系统和网络安全运行的技术支撑单位，承担着信息系统和网络的安全运维。

（一）安全边界不清晰的问题

各厅局在完成信息系统和资产划转后，普遍认为信息系统已经划转到大数据中心，安全责任应由大数据中心负责。但实际工作中，大数据中心作为技术支撑单位，主要负责是信息系统和网络的安全运维与服务。各厅局作为信息系统和网络的应用主体，应负责厅局用户的安全管理和规范应用等工作。由于机构改革，将分散在各厅局的信息系统划转到大数据中心，应用方和技术服务职责的拆分，造成改革初期的服务厅局与我中心的安全边界不清晰、各部与运维企业的安全边界不清晰以及部内安全运维和服务内容有待进一步理清等问题。

（二）安全运维和服务团队建设欠缺

机构改革前，多数厅局更多注重的是系统的建设和运维，在信息系统和网络安全运维和保障建设等方面都比较薄弱，多数未建立专业的安全运维团队，未采购专业的安全服务团队，专业的安全人才匮乏。经初步统计，中心目前具有安全方面的证书CISP的不足十人，占中心总人数的比例较低。

（三）安全运维和服务水平参差不齐，未形成工作合力

机构改革后，各厅局划转的信息系统和网络安全运维和服务工作由不同程度、不同水平的人员来进行管理和维护，技术力量和水平参差不齐。截至目前，在信息系统划转后，基本按照各厅局原来的运维力量来完成安全保障和服务工作，未形成安全的合力，整体的大安全保障基本空白。

（四）安全管理制度需要进一步完善

经初步统计，中心针对改革后出台了一些网络安全和数据安全体系的规章制度，主要包括《内蒙古自治区大数据中心政事权限清单》《大数据中心网络安全责任制实施细则》《内蒙古自治区大数据中心与各委办厅局网络与数据安全协同联动工作要求》《大数据中心与各委办厅局突发网络安全事件应急预案》，初步明确了中心与各服务厅局的安全边界和安全职责，对运维服务的机房、网络和信息系统安全提供了一些基础保障。但是这些制度在一定程度上存在普遍性，针对厅局的实际，需要进一步的细化和完善。